確保開源軟件供應鏈的安全是一件大事。去年,拜登政府發布了一項行政命令,以提高軟件供應鏈的安全性。這是在Colonial
Pipeline勒索軟件攻擊關閉了整個東南部的天然氣和石油運輸以及SolarWinds軟件供應鏈攻擊之後發生的。確保軟件安全成為重中之重。
作為回應,開源安全基金會(OpenSSF)和Linux基金會起來迎接這一安全挑戰。現在,他們呼籲在兩年內提供1.5億美元的資金,以修復十個主要的開源安全問題。
美國政府將不會為這些變化支付費用。亞馬遜、愛立信、Google、英特爾、微軟和VMWare已經認捐了3000萬美元。更多的廠商已經開始行動,例如亞馬遜網絡服務(AWS)已經認捐了額外的1000萬美元。
以下是開源產業致力於實現的十個目標:
安全教育:向所有人提供基線安全軟件開發教育和認證。
風險評估:為前10000個(或更多)開放源碼軟件組件建立一個公共的、供應商中立的、基於客觀計量的風險評估儀錶板。
數字簽名:加快軟件發布中數字簽名的採用。
內存安全:通過替換非內存安全的語言,消除許多漏洞的根源。
事故響應:建立OpenSSF開源安全事件響應小組,安全專家可以在應對漏洞的關鍵時刻介入,協助開源項目。
掃描技術:通過先進的安全工具和專家指導,加速維護者和專家對新漏洞的發現。
代碼審計:每年一次對多達200個最關鍵的開放源碼軟件組件進行第三方代碼審查(以及任何必要的修復工作)。
數據共享:協調全行業的數據共享,以改善有助於確定最關鍵的開放源碼軟件組件的研究。
軟件材料清單(SBOMs):推動改進SBOM工具和培訓的採用。
改進供應鏈:通過更好的供應鏈安全工具和最佳實踐,加強10個最關鍵的開源軟件構建系統、軟件包管理器和分銷系統。
了解更多:
https://8112310.fs1.hubspotusercontent-na1.net/hubfs/8112310/OpenSSF/White%20House%20OSS%20Mobilization%20Plan.pdf?hsCtaTracking=3b79d59d-e8d3-4c69-a67b-6b87b325313c%7C7a1a8b01-65ae-4bac-b97c-071dac09a2d8